As designed: ZUGANGSDATEN IM KLARTEXT GESPEICHERT

[minzbrot]

Ich habe heute vor dem Neuaufsetzen meinen PC durchforstet und dabei einen grauenhaften Fund gemacht. Es hat mir die Sprache verschlagen und ich saß erstmal völlig ratlos da.

Perfect Privacy speichert die Zugangsdaten für den VPN Manager zusammen mit sämtlichen Einstellungen unverschlüsselt unter c:\Users\%username%\AppData\Local\Perfect_Privacy\VPNManager.exe_{id}\1.10.12.0\ in der user.config

Verschlüsselt oder entfernt man die Datei, muss man den VPN Client nochmal vollständig neu konfigurieren. Danach liegt im Ordner natürlich die neue config bereit.

Ich weiß nicht, ob ich unter diesen verstörenden Umständen je wieder ein Bit vor die Firewalls setzen kann, ohne mich bei jedem blockierten Canvas zu fragen, wer mich da schon wieder hacken wollte Was zum Henker haben die sich dabei gedacht??

 

[PP Lars]

Hi.
Denk über das Gepöbel noch mal kurz nach...

Der Client braucht das Passwort im Klartext.Der musst sich ja mit dem Klartext Passwort am VPN anmelden.
Es gibt also nur die Möglichkeiten "Client kennt das Klartext Passwort" oder "Du tippst jedes mal das Passwort ein"
Und selbst wenn der Client das Passwort verschlüsseln würde, müsste er den key zum entschlüsseln ja im Code haben,
oder du musst ihn eintippen, sonst könnte der Client das Passwort ja nicht entschlüsseln.
So oder so.. wenn du kein Passwort eintippen willst, musst das Klartext Passwort für den Client verfügbar sein. Das ist immer und überall und bei jeder Software so.

Ausserdem ist das Passwort nicht Sicherheitsrelevant. D.h. wer dein Passwort hat, der kann umsonst PP benutzen,
sonst aber auch nix, das beeinflusst weder die Anonymisierung noch die Verschlüsselung. Und zusätzlich: Wenn jemand es schafft deine PP Zugangsdaten aus deinem AppData Order zu holen, dann hast du ganz andere Sicherheitsprobleme die sich auch durch ein VPN nicht lösen lassen.

Grüße
Lars

 

[minzbrot]

Hallo Lars,

hast ja recht. Über ein in Klartext gespeichertes Kennwort für den Zugang zu IRC über Pidgin
darf man sich weltweit aufregen und Leuten raten, das Kennwort nicht zu speichern,
aber das hier ist ja nur der VPN-Client. Alles halb so wild.

Grüße,
minzbrot

 

[PP Lars]

Naja im Endeffekt ists halt blöd.. wie man es dreht und wendet mit den Passwörtern.
Entweder tippt der User was ein, oder der Computer hat auf die eine oder andere Art zugriff auf das Klartext Passwort.
Das lässt sich Prinzip bedingt nicht ändern. Wenn du das Passwort nicht im Klartext speichern willst,
dann speicher es doch einfach nicht, das bietet der Client ja auch an, dann musst du es halt jedes mal eintippen.
Aber die Möglichkeit "Kein eintippen" + "Sicher gespeichert", die gibts nun mal nicht.

Grüße
Lars

PS: Ich glaub bei pidgin ist das Angriffsszenario eher das jemand physikalischen Zugriff auf deinen Rechner hat (Frau, Freundin, Arbeitgeber), und der dann mit den Passwörtern auf deinen chat Krams zugreifen könnte. Was speziell bei der Kombination Frau/Freundin evtl. ein Problem ist Deshalb ja: bei Pidgin ist es sinnvoll das password nicht im klartext, sondern mindestens verschlüsselt abzulegen.
Das heisst dann aber auch das du beim Pidgin start auf jeden Fall ein Passwort eingeben müsstest, um die gespeicherten Passwörter zu entschlüsseln. Oder du speicherst das Passwort erst gar nicht.